Blog
Finanse i ryzyko w gastronomii

RODO 2026: menu QR, WhatsApp do gości i lista mailowa w restauracji

Autor:

3 punkty styku Twojej restauracji z danymi gościa, w których lokale najczęściej łamią RODO, i co konkretnie zrobić w jedno popołudnie.

Klient siada przy stoliku, skanuje QR kod, otwiera menu w przeglądarce. Następnie pisze przez WhatsApp do restauracji "macie kawę bez laktozy?". Po wyjściu zapisujesz jego numer w bazie newsletterowej. Z punktu widzenia gościa to wygodna usługa. Z punktu widzenia RODO - 3 odrębne procesy przetwarzania danych osobowych, z których każdy wymaga osobnej podstawy prawnej i osobnej informacji dla klienta.

Ten wpis nie tłumaczy RODO od podstaw. Pokazuje 3 typowe punkty styku Twojej restauracji z danymi osobowymi gościa, które niemal każdy lokal w 2026 r. obsługuje źle, i co konkretnie zmienić, żeby zostać po właściwej stronie kontroli UODO.

Punkt styku 1: Menu QR i obowiązek informacyjny

Klient skanuje QR kod prowadzący do menu na Twojej stronie. Strona ładuje się w jego przeglądarce. Co się dzieje pod spodem:

  • Google Analytics albo inny tracker rejestruje wizytę (adres IP, typ urządzenia, lokalizacja przybliżona).
  • Twój serwer logu trzyma adres IP klienta przez X dni (typowo 30 dni).
  • Jeżeli masz remarketing Facebook/Google Ads, klient zostaje "otagowany" i jego dane idą do platformy reklamowej.

Każdy z tych procesów to przetwarzanie danych osobowych. Klient ma prawo wiedzieć, że to się dzieje, dlaczego, i kto jest administratorem. Praktycznie: strona z menu QR musi mieć:

  1. Banner cookie (zgoda na trackingowe ciasteczka), jeżeli używasz Google Analytics albo podobnych.
  2. Link do polityki prywatności (widoczny, najlepiej w stopce).
  3. Polityka prywatności musi wymieniać: kto jest administratorem (Twoja firma), jakie dane, w jakim celu, jak długo, komu są przekazywane (np. Google Analytics jako podmiot przetwarzający).

Większość małych restauracji ma stronę z menu bez bannera cookie i bez polityki prywatności. To luka prawna, którą UODO coraz częściej kontroluje (kary do 4 procent rocznego obrotu, w praktyce dla małej gastronomii typowo 10 do 50 tys. zł).

Punkt styku 2: WhatsApp do gości

Coraz więcej restauracji używa WhatsApp do komunikacji z gośćmi: potwierdzenie rezerwacji, informacja o menu dnia, odbiór dań na wynos. Z punktu widzenia RODO:

  • Numer telefonu klienta to dana osobowa.
  • Zapisanie go w kontaktach albo w spreadsheet to przetwarzanie.
  • Wysłanie wiadomości "Dziś polecamy carbonarę" do listy klientów, którzy raz rezerwowali stolik, to marketing - i wymaga osobnej zgody (nie wystarczy zgoda na obsługę rezerwacji).

Praktyczna ścieżka:

  1. Operacyjny WhatsApp (potwierdzenia rezerwacji, kontakt zwrotny). Klient kontaktuje się pierwszy. Twoja podstawa prawna: niezbędność do wykonania umowy (rezerwacji). Nie wymaga osobnej zgody.
  2. Marketing WhatsApp (newsletter o ofercie). Wymaga wyraźnej zgody. "Czy chce Pani otrzymywać informacje o menu sezonowym?" przy rezerwacji. Bez "Tak" zaznaczonego - nie wysyłasz.
  3. Lista kontaktów w telefonie kelnerki. Jeżeli kelnerka ma swoje kontakty z gośćmi w prywatnym telefonie, formalnie to też wymaga umowy o powierzenie przetwarzania albo zatrudnienia. Najlepsza praktyka: WhatsApp Business na firmowy numer, zarządzany centralnie.

Punkt styku 3: Lista mailowa i marketing

Klient zostawił maila przy rezerwacji online (przez ResDiary, TheFork, własny formularz). Wpisałaś go w arkusz Excel "stali klienci". Co dalej:

Bez wyraźnej zgody marketingowej, nie możesz mu wysłać oferty świątecznej. Możesz tylko: kontakt operacyjny związany z konkretną rezerwacją.

Jeżeli chcesz wysyłać newsletter z menu sezonowym, musisz mieć dla każdego klienta:

  1. Zgodę na otrzymywanie marketingu (osobny checkbox, nie "razem z polityką prywatności").
  2. Możliwość rezygnacji w każdej wiadomości (link "wypisz mnie").
  3. Zapis zgody z datą, godziną i adresem IP (dla kontroli UODO).

Excel ze stałymi klientami bez tych elementów to potencjalna kara. Lepsze rozwiązanie: Mailchimp, Brevo, ConvertKit - każdy z nich automatycznie loguje zgody i ułatwia compliance.

Co zrobić w jedno popołudnie

Checklista RODO dla małej restauracji w 2026:

  1. Sprawdź swoją stronę z menu QR. Czy ma banner cookie? Polityka prywatności w stopce? Jeżeli nie, dodaj. Generator polityki prywatności jest dostępny darmowo (np. termly.io, iubenda).
  2. Sprawdź swój WhatsApp. Czy masz osobny firmowy numer (WhatsApp Business), czy używasz prywatnego? Jeżeli prywatny, przejdź na firmowy. Ustaw automatyczną wiadomość powitalną z linkiem do polityki prywatności.
  3. Sprawdź swoją listę mailową. Czy klienci dali wyraźną zgodę na marketing? Jeżeli nie, wyślij re-permission email ("przypomnienie - czy nadal chcesz nasz newsletter, kliknij tu jeśli tak"). Klienci, którzy nie klikną - usuwasz z listy.
  4. Sprawdź swoją politykę prywatności. Czy wymienia wszystkich podmiotów przetwarzających (Google Analytics, ResDiary, Mailchimp, hosting strony)? Aktualizuj jeśli brakuje.
  5. Wyznacz osobę odpowiedzialną za RODO w lokalu (zwykle właściciel albo menadżer). Ta osoba odpowiada za incydenty (np. wyciek bazy), zapytania klientów ("co o mnie wiecie"), kontakt z UODO.

Najczęściej zadawane pytania

Czy mała restauracja musi mieć Inspektora Ochrony Danych (IOD)?

Nie, w 2026 r. obowiązek IOD dotyczy tylko organizacji przetwarzających dane w dużej skali (typowo: ponad 5000 osób w bazie). Mała restauracja może obejść się bez IOD, ale wyznacza osobę odpowiedzialną za RODO - typowo właściciel lub menadżer.

Czy zdjęcia z monitoringu w lokalu to dane osobowe?

Tak. Monitoring CCTV wymaga: oznaczenia (naklejka "obiekt monitorowany"), polityki retencji (typowo 30 dni), podstawy prawnej (najczęściej uzasadniony interes - bezpieczeństwo). Jeżeli kamera obejmuje stoliki gości, dodatkowy obowiązek informacyjny.

Czy mogę publikować zdjęcia gości w Instagram Stories?

Tylko za zgodą. Każdy gość, który widoczny jest na zdjęciu w sposób umożliwiający identyfikację, musi wyrazić zgodę. W praktyce: zamazujesz twarze, robisz zdjęcia stolika z jedzeniem (bez ludzi), albo pytasz konkretną osobę "czy mogę zrobić zdjęcie i opublikować".

Co jeżeli klient prosi o usunięcie swoich danych?

Masz 30 dni na realizację. Usuwasz z bazy, z newslettera, z arkusza Excel, ze wszystkich miejsc. Zachowujesz tylko dane wymagane do obowiązków księgowych (typowo 5 lat dla faktur). Po realizacji wysyłasz potwierdzenie klientowi.

Czy WhatsApp Business jest zgodny z RODO?

Sam WhatsApp jest zgodny (Meta jest podmiotem przetwarzającym, ma odpowiednie certyfikaty). Twoja konfiguracja może nie być: brak polityki prywatności, brak informacji w odpowiedzi automatycznej, brak segregacji kontaktów operacyjnych i marketingowych. WhatsApp Business plus zaktualizowana polityka prywatności = bezpieczne.

Potrzebujesz kompletnej dokumentacji HACCP?

GastroReady oferuje gotowe szablony HACCP, GMP i GHP dla każdego typu lokalu gastronomicznego. Od 299 zł, z instrukcjami PL/EN.

Zobacz pakiety dokumentacji HACCP →

Newsletter

Porady i aktualności – raz na jakiś czas.